L’acteur menaçant connu sous le nom de Porte dérobéeDiplomatie a été liée à une nouvelle vague d’attaques visant des entités gouvernementales iraniennes entre juillet et fin décembre 2022.
Palo Alto Networks Unit 42, qui suit l’activité sous son sur le thème des constellations sobriquet Taureau joueura déclaré avoir observé les domaines gouvernementaux tentant de se connecter à une infrastructure de logiciels malveillants précédemment identifiée comme étant associée à l’adversaire.
Aussi connu sous les noms APT15, KeChang, NICKEL et Vixen Panda, le groupe chinois APT a une histoire de campagnes de cyberespionnage visant les entités gouvernementales et diplomatiques en Amérique du Nord, en Amérique du Sud, en Afrique et au Moyen-Orient au moins depuis 2010.
La société slovaque de cybersécurité ESET, en juin 2021, a déballé les intrusions montées par une équipe de piratage contre des entités diplomatiques et des entreprises de télécommunications en Afrique et au Moyen-Orient à l’aide d’un implant personnalisé connu sous le nom de Turian.
Puis en décembre 2021, Microsoft a annoncé la saisie de 42 domaines exploités par le groupe dans ses attaques ciblant 29 pays, tout en soulignant son utilisation d’exploits contre des systèmes non corrigés pour compromettre les applications Web accessibles sur Internet telles que Microsoft Exchange et SharePoint.
L’auteur de la menace a récemment été attribué à une attaque contre une société de télécommunications anonyme au Moyen-Orient utilisant Quarian, un prédécesseur de Turian qui permet un point d’accès à distance aux réseaux ciblés.
Turian « reste en développement actif et nous estimons qu’il est utilisé exclusivement par les acteurs Playful Taurus », Unité 42 m’a dit dans un rapport partagé avec The Hacker News, ajoutant qu’il avait découvert de nouvelles variantes de la porte dérobée utilisée dans les attaques ciblant l’Iran.
La société de cybersécurité a en outre noté qu’elle avait observé quatre organisations iraniennes différentes, dont le ministère des Affaires étrangères et l’Organisation des ressources naturelles, tendre la main à un serveur de commande et de contrôle (C2) connu attribué au groupe.
« La nature quotidienne soutenue de ces connexions à l’infrastructure contrôlée de Playful Taurus suggère un compromis probable de ces réseaux », a-t-il déclaré.
Les nouvelles versions de la porte dérobée Turian arborent une obfuscation supplémentaire ainsi qu’un algorithme de décryptage mis à jour utilisé pour extraire les serveurs C2. Cependant, le logiciel malveillant en lui-même est générique en ce sens qu’il offre des fonctions de base pour mettre à jour le serveur C2 pour se connecter, exécuter des commandes et générer des shells inversés.
L’intérêt de BackdoorDiplomacy à cibler l’Iran aurait des extensions géopolitiques car il s’inscrit dans le contexte d’un accord global de 25 ans accord de coopération signé entre la Chine et l’Iran pour favoriser la coopération économique, militaire et sécuritaire.
« Playful Taurus continue de faire évoluer ses tactiques et ses outils », ont déclaré les chercheurs. « Les récentes mises à niveau de la porte dérobée Turian et de la nouvelle infrastructure C2 suggèrent que ces acteurs continuent de connaître du succès lors de leurs campagnes de cyberespionnage. »